Peneliti dari Dell Secureworks baru saja mengumumkan penemuan malware Stegoloader. Malware ini bersembunyi dalam gambar menggunakan teknologi digital steganography. Malware yang memiliki nama lain Win32/Gatak.DR dan TSPY_GATAK.GTK mulai ditemukan pada tahun 2013. Malware ini dirancang dengan sistem moduler. Sehingga infeksi malware pada satu tempat bisa berbeda dengan infeksi pada tempat lainnya. Modul yang digunakan berbeda-beda. Teknik ini menyulitkan proses analisa malware dan proses reverse engineering.
Peneliti Dell menemukan modul yang dapat mengakses dokumen, melakukan enumerasi program-program yang diinstal, membuat daftar history website yang dikunjungi, dapat mencuri password dan mencuri file installasi untuk IDA tool. Malware ini menyembunyikan dirinya pada file png dengan teknik steganography. Malware lainnya yang menggunakan teknik ini adalah Lurk Downloader. Malware ini telah dianalisa oleh peneliti CTU pada bulan April 2014. Hasil analisanya dapat dilihat pada link berikut:
Akhir tahun 2014 peneliti CTU menemukan malware versi neverquest dari Trojan Gozi. Malware ini menggunakan steganography untuk menyembunyikan informasi tentang server command and control C2. Malware ini dapat memeriksa apakah malware sedang berada dalam komputer yang melakukan analisa malware. Malware juga melakukan monitoring pergerakan mouse. Malware juga tidak menempatkan string pada body malware dalam bentuk clear text. Sebelum menjalankan modul, malware memeriksa proses apa saja yang berjalan pada sistem korban. Bila malware mendeteksi adanya proses-proses dibawah ini, maka malware akan mematikan dirinya sendiri :
| Wine | SandboxieDcomLaunch.exe | aswVBoxClient.exe | PEiD.exe |
| pr0c3xp.exe | wireshark.exe | dumpcap.exe | HRSword.exe |
| HipsTray.exe | InCtrl5.exe | anti-virus.EXE | FortiTracer.exe |
| SWIS.exe | Fiddler.exe | Regshot.exe | procexp.exe |
| Procmon.exe | Winalysis.exe | Olly | pythonw.exe |
| wscript.exe | snxcmd.exe | SfCmd.exe |
Malware berkomunikasi dengan C2 server dengan mengirimkan HTTP GET request. Malware mengunduh sebuah file PNG dari sebuah web. Alamat web ini ditulis secara hard-coded pada binary malware. Setelah mengunduh gambar, Stegoloader menggunakan library gdiplus untuk melakukan decompress gambar tersebut. Informasi disembunyikan pada setiap pixel dan pada least significant bit pada setiap warna. Data-data ini didekripsi dengan algoritma RC4 dengan kunci yang di hard-coded. Gambar PNG serta kode yang didekripsi ini tidak disimpan dalam harddisk, sehingga menyulitkan proses analisa.
https://threatpost.com/information-stealing-stegoloader-malware-hides-in-images/113337
http://blog.trendmicro.com/trendlabs-security-intelligence/steganography-and-malware-why-and-how/
https://www.virusbtn.com/conference/vb2015/abstracts/R-MunozGuzman.xml